2022-10-05 分類: 網(wǎng)站建設(shè)
Apache Log4j 日志庫中發(fā)現(xiàn)了另一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞,現(xiàn)在被跟蹤為 CVE-2021-44832。這是 Log4j 庫中的第三個(gè) RCE 和第四個(gè)漏洞,其次分別是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻擊)。
目前,Apache 團(tuán)隊(duì)已發(fā)布新的 Log4j 版本以修復(fù)新發(fā)現(xiàn)的這一漏洞。根據(jù)介紹,CVE-2021-44832 表現(xiàn)為,當(dāng)攻擊者控制配置時(shí),Apache Log4j2 通過 JDBC Appender 容易受到 RCE 的攻擊。
Apache Log4j2 2.0-beta7 到 2.17.0 版本(不包括安全修復(fù)版本 2.3.2 和 2.12.4)容易受到遠(yuǎn)程代碼執(zhí)行(RCE)攻擊,其中有權(quán)修改日志配置文件的攻擊者可以構(gòu)建惡意配置將 JDBC Appender 與引用 JNDI URI 的數(shù)據(jù)源一起使用,該 JNDI URI 可以執(zhí)行遠(yuǎn)程代碼。此問題已通過將 JNDI 數(shù)據(jù)源名稱限制為 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 協(xié)議來解決。
Log4j 1.x 不受此漏洞影響。受影響的用戶可升級到 Log4j 2.3.2(適用于 Java 6)、2.12.4(適用于 Java 7)或 2.17.1(適用于 Java 8 及更高版本),以緩解該漏洞。
在以前的版本中,如果正在使用 JDBC Appender,請確認(rèn)它沒有被配置為使用 Java 以外的任何協(xié)議。官方提醒,只有 log4j-core JAR 文件受此漏洞影響。僅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的應(yīng)用程序不受此漏洞的影響。另外,Apache Log4j 是唯一受此漏洞影響的日志服務(wù)子項(xiàng)目。Log4net 和 Log4cxx 等其他項(xiàng)目不受此影響。
發(fā)布詳情 從版本 2.17.1(以及針對 Java 7 和 Java 6 的 2.12.4 和 2.3.2)開始,JDBC Appender 將使用 JndiManager,并要求 log4j2.enableJndiJdbc 系統(tǒng)屬性包含 true 值以啟用 JNDI。 啟用 JNDI 的屬性已從“l(fā)og4j2.enableJndi”重命名為三個(gè)單獨(dú)的屬性:log4j2.enableJndiLookup、log4j2.enableJndiJms 和 log4j2.enableJndiContextSelector。 JNDI 功能已在以下版本中得到強(qiáng)化:2.3.1、2.12.2、2.12.3 或 2.17.0。從這些版本開始,已刪除對 LDAP 協(xié)議的支持,并且 JNDI 連接僅支持 JAVA 協(xié)議。詳情可查看此處。
本文地址:https://www.oschina.net/news/176017/fourth-log4j-rce-vulnerability
網(wǎng)站名稱:ApacheLog4j中出現(xiàn)新的遠(yuǎn)程代碼執(zhí)行漏洞
網(wǎng)站URL:http://jinyejixie.com/news13/202263.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、外貿(mào)建站、動態(tài)網(wǎng)站、用戶體驗(yàn)、域名注冊、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容